Just-In-Time (JIT) VM アクセスについて

[アーティクル]
06/29/2023

このページでは、Microsoft Defender for Cloud の Just-In-Time (JIT) VM アクセス機能の背後にある原則と、推奨事項の背後にあるロジックについて説明します。

Azure portal (Defender for Cloud または Azure Virtual Machines) またはプログラムを使用して、VM に JIT を適用する方法については、JIT を使用して管理ポートをセキュリティで保護する方法に関する記事をご覧ください。

仮想マシン上の開いている管理ポートのリスク

脅威アクターは、RDP や SSH などの、開いている管理ポートがあるアクセス可能なマシンを積極的に探します。すべての仮想マシンは、攻撃の対象となる可能性があります。 VM への侵害が成功すると、これは環境内のリソースをさらに攻撃するためのエントリポイントとして使用されます。

JIT VM アクセスがソリューションである理由

すべてのサイバーセキュリティ防止技術と同様に、目標は攻撃面を減らすことです。ここでは、開いているポート (特に管理ポート) を減らすことを意味します。

正当なユーザーもこれらのポートを使用しているため、これらを閉じたままにしておくのは現実的ではありません。

このジレンマを解決するため、Microsoft Defender for Cloud には JIT が用意されています。 JIT により、VM へのインバウンドトラフィックをロックダウンすることができるので、攻撃に対する露出が減り、VM への接続が必要な場合は簡単にアクセスできます。

Azure と AWS のネットワークリソースで JIT はどのように動作するか

Azure では、Just-In-Time VM アクセスを有効にすることで、特定のポートでの受信トラフィックをブロックできます。 Defender for Cloud では、ネットワークセキュリティグループ (NSG) と Azure Firewall 規則で選択したポートに対して "すべての受信トラフィックを拒否" 規則が確実に存在しています。これらの規則により、Azure VM の管理ポートへのアクセスが制限され、攻撃から保護されます。

選択したポートに対して他の規則が既に存在している場合は、新しい "すべての受信トラフィックを拒否" 規則よりも既存の規則が優先されます。選択したポートに既存の規則がない場合は、NSG と Azure Firewall で新しい規則が優先されます。

AWS では、JIT アクセスを有効にすることにより、選択したポートに対して、アタッチされた EC2 セキュリティグループで関連規則が取り消されます。これにより、それらの特定のポートでの受信トラフィックがブロックされます。

ユーザーが VM へのアクセス権を要求すると、Defender for Cloud によってそのユーザーが VM に対する Azure ロールベースのアクセス制御 (Azure RBAC) アクセス許可を持っているかどうかがチェックされます。要求が承認されると、指定した時間内でのみ、関連する IP アドレス (または範囲) から選択したポートへの受信トラフィックが許可されるように、Defender for Cloud によって NSG および Azure Firewall が構成されます。 AWS では、Defender for Cloud によって、指定したポートへの受信トラフィックを許可する新しい EC2 セキュリティグループが作成されます。指定された時間が経過すると、Defender for Cloud により NSG が以前の状態に復元されます。既に確立している接続は中断されません。

注意

JIT では、Azure Firewall Manager によって制御される Azure Firewall によって保護されている VM はサポートされません。 Azure Firewall は、ルール (クラシック) を使用して構成する必要があり、ファイアウォールポリシーを使用することはできません。